Uploaded by Andrés Manuel Murillas Gallego

LO2 - Day1

advertisement
Unidad 24
Forensics
LO1: Procesamiento Forense I - Artifacts
Artefacto Forense
Los artefactos forenses son objetos que tienen valor forense. Es decir, cualquier objeto que
contenga datos o pruebas de algo que haya ocurrido. Como los logs o los registros por
nombrar algunos.
En forense lo mas importante es saber que artefactos aportaran mas valor en cada
investigación y extraer la máxima información de ellos.
LO1: Procesamiento Forense I - Artifacts
Tipos de Artefacto
•
Windows Registry: El registro de Windows se divide en 4 hives de sistema y 2 hives de
usuario de los que podemos extraer mucha información forense
•
Internet Artifacts: Los artefactos de internet se extraen de navegadores o programas de
mensajería y aportan mucha información como el historial, habitos de uso de internet o
conversaciones con otros usuarios.
•
Disk Artifacts: Artefactos de disco como la MFT (Master File Table) nos muestra
información sobre todos los ficheros almacenados y su uso.
•
Events Artifacts: Los eventos nos dan información sobre todos las acciones relevantes
que suceden en los sistemas operativos
•
Others: Existen miles de artefactos y cada vez aparecen mas: Prefect, Shimcache,
Amcache, SRUM…
LO2: Procesamiento Forense I - Artifacts
Herramientas Generalistas
Este tipo de herramientas son las mas usadas en forense ya que permiten extraer un gran
numero de artefactos desde la misma aplicación de un modo fácil y cómodo.
Exceptuando herramientas como Autopsy, estas herramientas suelen tener un coste muy
elevado. Algunos ejemplos serian: Encase, Axiom, FTK, Autopsy…
PROS
CONTRAS
•
•
•
•
•
Facilidad de uso
Casi cualquier tipo de evidencia
Validez jurídica
Correlación de información.
•
•
No soportan todo tipo de
artefactos
El precio suele ser muy alto
No escalan bien en casos con
alto numero de evidencias
LO2: Procesamiento Forense I - Artifacts
Herramientas Especialistas
Este tipo de herramientas están diseñadas para procesar algunos tipos de artefactos muy
específicos habitualmente porque aportan algo que no tienen las herramientas mas
generalistas o porque son las únicas que procesan un tipo de artefacto.
PROS
CONTRAS
•
•
•
•
•
•
•
Información extra
Precio reducido
Integración y scripting
Escalabilidad
Mayor complejidad
Baja validez jurídica
Suelen tener que combinarse con
otras herramientas para funcionar
correctamente
LO2: Procesamiento Forense I - MFT
Artefactos de disco - MFT
El primer fichero que nos encontramos en un disco con un sistema de ficheros NTFS es el
correspondiente a la MFT ($MFT), Master File Table, que se crea al mismo tiempo que se
formatea el volumen como NTFS.
Como todo lo que se graba en el disco se considera un fichero, cualquier modificación que se
realice en el sistema se grabará, como un registro de metadatos, en el archivo MFT, que
contiene incluso información de los archivos de sistema y que almacena todos los ficheros y
directorios, con varias propiedades.
LO2: Procesamiento Forense I - MFT
Artefactos de disco – Procesar MFT
1) Crear el body file. El body es el parseo directo de la MFT. Se pueden usar herramientas
como “fls” o “analyzeMFT”. Ex:
fls -o <sectoroffset> -m <drive> -r <evidence path> > evidence.body
fls -o 63 -m “C:” -r /home/forest/evidence/jean.E01 > evidence.body
2) Crear un filesystem timeline. El filesystem timeline permite ordenar temporalmente los
eventos de disco. Se pueden usar herramientas como “mactime”. Ex
mactime -d -b <body file> > filesystemtl.csv
mactime -d -b evidence.body > filesystemtl.csv
LO2: Procesamiento Forense I - MFT
Artefactos de disco – Procesar MFT
1) Crear el body file. El body es el parseo directo de la MFT. Se pueden usar herramientas
como “fls” o “analyzeMFT”. Ex:
fls -o <sectoroffset> -m <drive> -r <evidence path> > evidence.body
fls -o 63 -m “C:” -r /home/forest/evidence/jean.E01 > evidence.body
2) Crear un filesystem timeline. El filesystem timeline permite ordenar temporalmente los
eventos de disco. Se pueden usar herramientas como “mactime”. Ex
mactime -d -b <body file> > filesystemtl.csv
mactime -d -b evidence.body > filesystemtl.csv
LO2: Procesamiento Forense I - MFT
Artefactos de disco – Time Format
•
Modify: A file's modification time describes when the content of the file most recently
changed.
•
Access: A file's access time identifies when the file was most recently opened for reading.
•
Change: The time when certain file metadata, not its contents, were last changed, such
as the file's permissions or owner
•
Birth: The time when file was created in filesystem.
LO2: Procesamiento Forense I - MFT
Artefactos de disco – Time Format
•
Modify: A file's modification time describes when the content of the file most recently
changed.
•
Access: A file's access time identifies when the file was most recently opened for reading.
•
Change: The time when certain file metadata, not its contents, were last changed, such
as the file's permissions or owner
•
Birth: The time when file was created in filesystem.
LO2: Procesamiento Forense I - MFT
Artefactos de disco – inodo
Un inodo es una estructura de datos que almacena información sobre un fichero de nuestro
sistema de archivos.
Un inodo no tiene nombre y se identifica mediante un número entero único. Cada inodo
únicamente puede contener datos de un solo fichero del sistema de archivos. Por lo tanto, si
tenemos 4 archivos y 4 directorios estaremos usando 8 inodos.
Se puede extraer un dato sabiendo su inodo con el comando icat:
icat –o <sector offset> <path evidence> <inode> > <filename>
Icat –o 63 bridge/ewf1 17441 > test.json
LO2: Procesamiento Forense I - Challenge
Challenge I
•
•
Procesar la MFT de la evidencia de Jean
Extraer con icat el fichero m57biz.xls
LO2: Procesamiento Forense I - Challenge
Challenge II
•
Extrae de la evidencia todos los ficheros de buzón de correo (PST)
¡Muchas gracias!
MIGUEL QUERO
miguel.quero.rodriguez@gmail.com
Download